アカウント名:
パスワード:
いや、普通の人は技術的にどうのこうのなんて事、微塵も思わないって。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
事前調査はどこまで許されるのか? (スコア:2, 興味深い)
だれだって空騒ぎは起こしたくない。管理者に連絡するなどの行動に
移る前に、ある程度、本当にまずい設定になっているという確証を得たい、
と考えるのは自然なことだ。
その事前調査の過程で、たとえば意図した通りの POST リクエストを発行
するために HTML フォームを独自作成したり、その結果取得した CGI スクリプト
を読む、というのは、科学者として当然やるべきことをやる、という範疇から
逸脱しているようには思えない。
もし仮に、調査の過程で /etc/shadow みたいな情報を取得して、
暗号化されたパスワードを総当たりで解読したなら、既存の法律に
触れることを予想すべきだ。だがこの裁判で問題となっている調査
行為には、そのようなあからさまな不法行為が見当たらない。
「FTP ではパスワードで保護されていた」というのは筋の通らない主張だ。
じゃあ FTP がパスワードなしで読み出し放題になっているマシンでも、
AppleTalk や DECNET かなんかでパスワードがかかっているという理由だけで
FTP 経由のあらゆる事前調査が不正アクセスになってしまうと言えるのか?
そんな考え方は、社会のセキュリティ向上にとって害でしかない。
それを踏まえ、今回の判決の少なくとも一部は間違っていると認めた上で、
セキュリティホールに関する科学的な事前調査はどこまで許されるのか、
その通知方法や、(通知が効果を上げなかった時の)公共への問題提起の
方法はいかにあるべきか、という問題が未解決であると認めざるを得ない。
Re:事前調査はどこまで許されるのか? (スコア:0)
>と考えるのは自然なことだ。
いや、普通の人は技術的にどうのこうのなんて事、微塵も思わないって。
Re:事前調査はどこまで許されるのか? (スコア:1)
この検討の上では視野の外に置いて構わない。
Re:事前調査はどこまで許されるのか? (スコア:0)
自分が面倒で無責任である責任を無根拠に「何ら根拠無く訴えらられる」などと言って他人に押し付けて筋を通さないなんてもってのほか。
Re:事前調査はどこまで許されるのか? (スコア:3, 参考になる)
ソフトウェア作成者(特にフリーやシェア)、サーバー管理者などでバグやセキュリティホールが甘いところを指摘しあうのは自分が鯖管してた10年以上前からありました。ソフトに関してはもっと前からで気づいたころには草の根でも存在してました。
#今でもバグ報告掲示板などがたくさん機能してますよね
そしてそれが今まで非常に有益なものでした。
まともに外部に公表している鯖やシェアやフリーでソフトを出している人ならそれは当たり前の世界でした。
今回の判決はその方法のひとつを有罪の理由に挙げている、それがこんな200レス超える状態になる原因だとおもいます。
公表の仕方は十分問題になっってしかるべきでしょう(公表前に手順踏んで報告していないなら)でも技術的方法を区別してもらわないと困るんです。
技術者の皆さんが問題視してて騒いでるのは自分たちも「セキュリティホール発見」や「バグ発見」のメールを出したりもらったり、「対処完了ありがとう」ってのを出したりもらったりしてきた経験があるからです。
ガーディアンエンジェルなんて新しいもの出してこなくてもいい話です。技術者気取りかこのやろぉ!?が正解でしょ。そっちのほうが歴史も長いし・・・・
これから方向性としてソフトやバグ報告掲示板や添付書類に「バグやセキュリティホールがあって指摘しても違法行為ではありません起訴もしませんどんな操作や入力もがんがんやってください」とでもかかんといけないのか?
個人的にですが今回の件は
技術的アプローチ、セキュリティホールを探ったりする行為を司法判断する必要なし。
公表の仕方、それによってACCSに対して必要以上の損害を与えた?これは司法判断すべき。
損害を与える意思などだけを判断すればいいのに、技術的手法を挙げたんでいい迷惑だってかんじです
Re:事前調査はどこまで許されるのか? (スコア:1)
30代前半なら十分若いかも。
おおざっぱに言って、Windows 95以前と以降で技術者の質が根本的に変わっています。スキルのあるなしという話とは違うレベルの話で。
Windows 95以前の技術者の態度はmatyさんのようなものでしたが、それ以降にインターネットに関わるようになった人達には、ここで暴れているACさんのように考える人も多いような気がしますね。いい意味でも悪い意味でも、ボランティア精神があった時代と、商業主義が入ってきた時代の違い。
# 電子メール一つにしても、そこを境に違いがあるんだよな。
Re:事前調査はどこまで許されるのか? (スコア:1)
穴を探してありがとう!!
ってのはサーバー管理者のスタンスだと思ってました。
10年ほど昔のネット業界は情報が今ほど流れてなかったから、相手のミスだろうと何だろうと見つければチェックして教えあうってのが多かったと思うんですけど、分類的には「学術系」だったんでしょうね。
最大の情報源も大学サイトが多かったですし。あとNIFぐらいかな?
#力技を普通と考えるのか、故意のイレギュラーと考えるかが壁
#なのかな・・・・
#今より情報がないころは力技使わんといかんこと多かったんで
#今回の手法自体を普通と感じてしまうのはもうまずいのかなぁ
Re:事前調査はどこまで許されるのか? (スコア:0)
> ってのはサーバー管理者のスタンスだと思ってました。
穴を探してくれて、通報してくれる人はありがたいです。
でも、探した穴を知らせる前に別の場所で晒す人まで「ありがとう」と礼を言わねばならないのでしょうか?
Re:事前調査はどこまで許されるのか? (スコア:1)
穴を探すという技術的な行為、と
きちんと通報せず公開し損害を与えた、という2件は分けてくだ
さいというのがここいら変のスレッドで書いた自分のスタンスです
Re:事前調査はどこまで許されるのか? (スコア:0)
世の中のまともな管理者達を
>>セキュリティホールを探ったりする行為を司法判断する必要なし
なんていうアホといっしょにしないでいただきたい。
この手の技術バカは古い新しいに関わらず存在
Re:事前調査はどこまで許されるのか? (スコア:1)
#書くきはなかったんだけどなぁ
>>セキュリティホールを探ったりする行為を司法判断する必要なし
行為自体に違法性をつけられると困ると思うんだけど?
たとえば契約する鯖に基本的な穴がないかまぁ「アノニが通らないか程度」を見ることも違法にくくられちゃうよ?
オラクルで相手の鯖管が素人っぽくてまさかとSCOTT/TIGER打ってびっくり即報告も違法なんよ?とある大手の業者が納品した鯖で実際あったんだけど。
だからその後に書いた「損害を与えた」とかで司法は判断してくれって言ってるだけなんだけどね。
10年ぐらい前のペーペーのころWeb鯖なんか管理してたけど穴探してメールなんかでこっそり教えてくれた人たちに、ありがたいとは思っても犯罪行為だとは思いたくないです。
「あそこのCGIでしょ?穴が開きっぱなしですよ、新しいPGに変えましょう」ってメールで報告受けたこともあったしね。
#まぁバカ技術者が司法にたてつくなぁとかまともな管理者が管
#理してる鯖は穴なんてありませんってならいいけどさ
Re:事前調査はどこまで許されるのか? (スコア:0)
鏡に向かって言ってるのか?
悪いけど、この業界のその道で大方10年選手です。
で、「疑いがありますという連絡だけで十分。」と書いてあるだ
Re:事前調査はどこまで許されるのか? (スコア:1)
その現象や再現性ぐらいはきちんとレポートしてあげないとね
疑いで報告されても困ります。
管理者としてはまぁチェックするだろうけどさ・・・
報告者もチェックせずにレポートするのはだめでしょう?
疑いレベルなら優先順位は最低に分類される報告書でしょうね。
#大方十年って切り上げかな?まぁACだからどうとでもいえるけどね
#仕事ならそんなトラブル報告書出す奴いらね
#鯖管に連絡する前に公表する奴もいらね
Re:事前調査はどこまで許されるのか? (スコア:2)
こういう声を/.Jでは何度か目にしましたが、自分に管理者としての経験が無い為か、今一つピンときません。
もし「お宅の会社に爆弾が仕掛けられてるかもしれないよ」と警告されたら、即座に対応しますよね。警告されて放置して、爆破されたら目も当てられないですし。で、その結果警告が外れだと判明したら、次に警告者が悪意を持って嘘を伝えた可能性を有る限りの情報で判断し、その可能性を認めれば制裁(まあ警察に通報でしょうね)を検討、と。
セキュリティについての重要な指摘も同じ要領で対応(まず即調査)するもんなんじゃないの?というのが私の考えです。
何故セキュリティに関して「疑いレベルなら優先順位は最低」とまで楽観的なのでしょうか?
> セキュリティーホールやバグでチェックもせずにメール出す
私なら自分の安全を考えてそうしますね。
迂闊に企業の機密(かもしれない)情報にアクセスして、もしあらぬ疑いをかけられたらどんな被害を受けるか分からないので。
また報告先が自分の利害が絡む相手である場合、上述したような「悪意の可能性」が高まりそうなので、報告自体しません。
以上は報告するかどうかの話、以下は「実験してから報告する」かどうかの話になります。
>疑いで報告されても困ります。
そうなんですか?企業側としても、大事な情報にはアクセスされない(つまり「疑いだけ」の段階で報告される)にこしたことは無いのでは?「やってみたら出来た」という報告が来て、実際そのアクセスの形跡がある場合、報告者がその行為の結果を悪用しないか(または既に悪用していないか)を調査する必要がでてきますよね。
# アクセス記録が取れていない or 当てにならない or 報告者以外にアクセスされた形跡がある(!)、という状況だと、報告者のアクセスの形跡はそれに紛れますが。
# ちなみにこのストーリの先の方で「実験しても良いかどうか、企業側にお伺いを立てる」なんて話もありました。が、それはまた別の話。
Re:事前調査はどこまで許されるのか? (スコア:1)
たぶん自分とseothさんの「疑い程度」の認識が違うんでしょうね
たとえ話は本題をぼかしちゃうんでいやなんですが・・・
「あなたのサーバーはFTPが使われてるんでデフォルトのパス生
きてませんか?」見たいな話だと思ってます。
もしかしたらそんな穴はサーバー管理者がふさいでるかもしれな
いしふさいでないかもしれない。
実際にどのようにURLたたいたらこうなりました、バグでしょ
うか?ってなら話は別で重要な情報なんですが。
たとえ話でいえばサーバーなんてどっかに爆弾抱えてることが多
いんです。そして常時何らかの爆弾が発見されてるんですよ。
いうなれば地雷がたくさん埋まってる地域に「あそこらへん地雷
あるかも」と指摘されてもまずは目の前や新しく発見される地雷
を排除することに専念します。まあ余力があれば「もしかしたら」
ってレベルもチェックするでしょうが。
アプリのバグやセキュリティーホール、ウィルス、そのた鯖の利用
者がらみのトラブル対処、そんな地雷たくさんの中仕事してると
かも知れないレベルの指摘は後回しです
#自分とこが人手が余ってなかったせいもあるんでしょうが
>>私なら自分の安全を考えてそうしますね。
自分も今回の判決の内容読んだらそう思えました
#バグがある、セキュアじゃないって段階でだめだめだよ
#って人はセキュアでバグがない実用できるOS教えてください
#というかマジで教えて!!方法でもいいや、仕事が楽になる
#んで本当にお願いします
#30数歳なのに10数年のキャリアが短いといわれて悩んでるmatyでした
#というか俺このスレに自分の発言についたレスとはいえども
#粘着状態ですね・・・反省、寝よ
Re:事前調査はどこまで許されるのか? (スコア:2, 参考になる)
>者がらみのトラブル対処、そんな地雷たくさんの中仕事してると
>かも知れないレベルの指摘は後回しです
なるほど…セキュリティの欠陥を抱えるリスクと、管理体制を充実させるコストとを天秤にかけて、「余力がない状態が常、という程度に管理者を置こう」と判断をする会社も有るのですね。
他所に「片っ端から対応できるだけの充分な管理体制を布くようにしている」と匂わせるコメントも有るので、それぞれ一例として参考にさせて頂きます。
>>>私なら自分の安全を考えてそうしますね。
>自分も今回の判決の内容読んだらそう思えました
ちなみに私は不正アクセス禁止法施行前からそういう考えです。
・法律の知識には自信が無いので、他のどんな法に触れてるかも判断できないし
・「こいつは変な事をする奴」と相手にマークされても嫌だし
・「実はもうウチに不利益な事をやらかしてるんじゃないか?」と身辺を探られるのも嫌だし
・他いろいろ
・そもそも上記のような心配を抱えてまで他人に親切する事も無いや。
というわけです。 # ヘタレ?ええ、そうです :-)
ところで
>>>実際そのアクセスの形跡がある場合、報告者がその行為の結果を悪用しないか(または既に悪用していないか)を調査する必要がでてきますよね。
これの実体験をされた方(企業側でも報告者側でも)はみえませんかね?
誰かが実験済みの状態で報告してきた場合、企業側がどう対応するのか、興味があります。
# 確か昔の office-ACCS 関連のストーリで、”実際にofficeから指摘を受けた事がある”と言ってたACさんが居たような…
Re:事前調査はどこまで許されるのか? (スコア:1)
鯖関連が本業でない企業での鯖管やら何やらなんですが、やはり
予算が厳しいです、こうゆう可能性があるから予算くれってのを
素人に説明して、効果として目先の売り上げや機能向上に関係な
いものに結構な予算を取る。例えば回線や鯖の二重化になるとしゃれに
ならない金額になりますんで上のほうも二の足を踏むんですよね。
「そんな最悪にならなければここまでいらんだろ、最低限にして
くれ」と・・・
機能向上とかになるとすんなり予算がつくんですが、やればよ
けい対処しないといけない幅が広がります
#自分の上司が嘆いてたの思い出します
#鯖開発系になると自由ですが引渡し後や開発終了後は厳しく
#なります、次の仕事が来てますからそれはほっとけんし
あと、これはいえるんですが、外部の人がチェックもせずにトラ
ブルと思われますって内容は
・どっかで知識をつけただけの素人かもしれない、指摘も対処済み
・表面的なものでしかなく重要度、危険度が低いため放置のもの
・潜在的アプリのバグ等ならば販売元やその他情報源から入手済み
がほとんどと思うんですよね。普通に触ってわかる範囲ですから。
勘と表面的動作で穴やバグがわかるなら・・・実地調査のほうが
手間と時間かかりますしね。そんな簡単なもんじゃないとおもい
ます、テスト工程を資料なしで実地なしでの結果データなんて普
通のアプリ開発でも提出したら殴られるようなものですからね
seothさんと違って自分の場合インターネットではじめの「みん
な仲良し」時代を鯖管で経験して、そんな重要なデータが置かれて
ないときの平和な学校時代の経験が大きいんで時代に即してない
んでしょうね
#やっぱ俺おやじだわ、社内システム系に移って正解だなっと
#個人情報結構出したんでちと・・・まぁ特定できる情報は出し
#てないが、これも気をつけないと(w
Re:事前調査はどこまで許されるのか? (スコア:0)
>疑いで報告されても困ります。
ナニ甘えてんだ?
学生気分で社会に出てんじゃねぇよ。
#あなたも無駄な方の人間なのねぇ……
ローカルで検証できるものならしてあげてもバチはあたらねぇよ。
レンタルサーバの問題ならレンタルサーバを自分で借りて自分で検証してもまあ文句はいわねぇだろう。
#レンタル屋の規約によりけりだが
でもな、人様の資産に向かって攻撃してんじゃねぇよ。
Re:事前調査はどこまで許されるのか? (スコア:1)
#というか経歴長いならそんな口調やめたほうがいいよ、分かるでしょ?
FTPで保護されている?フォルダがHTPP経由のCGIのパラメーター変更で取得可能だった件について攻撃?と思われてる段階で「違うんじゃないかな」と思うんですが?まぁこれは裁判に関してもですが。
この手法自体が技術者にとって一般的な手法であり、それを「攻撃」や「違法行為」といわれても困るってのがこの問題に疑問を掲げてる方々の考えだとおもいます。
#Blogなんかのパラメーター変更も罪なのか?
「HTTPで公開している=それで操作可能範囲は操作やいじられるのは当たり前」
てのは普通のことだとおもいますしそれを想定して公開するのが当たり前だとおもいます。
それを「公開した人が想定しなかった」という「想定外のバグやミスはつかった、発見したほうが悪い」的な判例は・・・あっ楽になるジャン俺
>>ナニ甘えてんだ?
>>学生気分で社会に出てんじゃねぇよ。
HTTPで公開していたCGIはいろいろ触られるってことがわからないのこそ甘えですよ、わかってますか?公開したPGもいろいろな触られ方しますよ?
それもわからずにアプリ作ってたらホンと・・・いらね
>>人様の資産に向かって攻撃してんじゃねぇよ。
DoSか何かと思ってるんですか?今回の件?
ほんとにネットアプリ系かなんかのソフト系の開発の人?
#一緒くたにせず#で「仕事なら」ってまで書いてるのにわざわざ
#一緒くたにしないでよACさん
うざったいんで#はずして書きます
ようは「問題指摘時に何が必要か?それに伴う報告内容は?」
ってのがわからない人はいらねってこと、テストの手法なんか
ちゃんとわかってます?トラブル時に必要な内容も?想定できる
ぐらいで報告されちゃサーバー管理者PG作成者でも困るんですよ
ましてや相手の鯖管は仕事でやってんだからね、わかってます?
#ACさん職歴長くてもスラド暦は短いのね・・・
Re:事前調査はどこまで許されるのか? (スコア:0)
自分のことですか、(#714281)=(#714395)=(#714418)のクズエンジニアさん :-)
#伊達や酔狂で年くってることを自慢するのは止めたら?
Re:事前調査はどこまで許されるのか? (スコア:0)
あんたはスラド暦は長いのに社会人暦は短いんだねえ・・・歳は結構いってるから、ニート暦の方は長いのか。
俺の考えは というか更に突っ込んだ内容でseot氏が書いてるので改めて書くことはしないが。せいぜい精進しな。
Re:事前調査はどこまで許されるのか? (スコア:0)
ブラウザを起動しておもむろにアクセスするのではなく、
アクセスするためにログファイルを取得してアクセスするための引数を入手してから
アクセスしてる時点で意図的な攻撃であることは明白。
>この手法自体が技術者にとって一般的な手法であり
だからさ、本気で「一般的」だなんて思ってるの?
もしそうなら他の技術者に迷惑だからやめてくんないかな?
自分が捕まったときのために、今のうちから「一般的だ」ということにしたいのかもしれないけどさ。
>>ナニ甘えてんだ?
>>学生気分で社会に出て
Re:事前調査はどこまで許されるのか? (スコア:0)
>アクセスするためにログファイルを取得してアクセスするための引数を入手してから
>アクセスしてる時点で意図的な攻撃であることは明白。
今回の裁判で、どこからが違法でどこからが違法じゃないかという明確なラインが決まったのですか?
#この国は(法律で定義しきれない部分では)判例が重視されるのですから、これをあいまいにしたまま判決を出されるのは問題なのですが。
>>この手法自体が技術者にとって一般的な手法であり
>だからさ、本気で「一般的」だなんて思ってるの?
どこからが一般的で、
Re:事前調査はどこまで許されるのか? (スコア:0)
えーと、今回の事例は違法アクセスと言うラインが決まったようですよ。
> #この国は(法律で定義しきれない部分では)判例が重視されるのですから、これをあいまいにしたまま判決を出されるのは問題なのですが。
判例とか法律がどうとかそれっぽい言葉を使っていますが全くだめですね。
もし判例を持ち出すなら過去の判例と比べておかしいというなら分かるのですが、過去の判例を示さずにこういうことを言うのは間違い。
判例は重要ですが、適当なものが無い場合過去の判例
Re:事前調査はどこまで許されるのか? (スコア:0)
今回の裁判は刑事裁判ですから、個別の事件に対して合法/違法性が判断されるだけであり、あなたがおっしゃるような「どこからが違法であるか」は判断しません。あくまで今回の事件が合法であるか違法であるかだけが判断されます。
そして、今回の事例に関しては明らかに違法行為であるという判断が示されました。
Re:事前調査はどこまで許されるのか? (スコア:0)
>「問題指摘時に必要な決定的な要素が欠けている」人間の最たるものだと思いますよ。
ボクはキミの自己啓発セミナーの講師じゃないんだよ。
この話の流れで理解できてないのなら、しなくていいからそのまま捕まってください。
中途半端に理解して他人に迷惑をかけ続けるより、理解できないままどっか別に世界で暮らしているほうが、
あなたのような人間にもみんなにも幸せですから。
>正直、あなたのこのコメントは「こっちは日々
Re:事前調査はどこまで許されるのか? (スコア:1)
小学校卒業して即働けと・・・・
あらぬニート疑いまで・・・・
#そんなに俺っておっさんか...orz
#なぁんか技術や知識や法律やらの突込みではなく攻撃のための
#突っ込みACさん、面白くて笑いました、会社いってねたにさせ
#てもらいます
Re:事前調査はどこまで許されるのか? (スコア:0)
セキュリティホールの指摘の対応もろくに出来ないような無能な管理者を置いている会社の話を、ですか?
まさか
http://srad.jp/comments.pl?sid=247064&cid=714550
の「自分とこ」って今勤めてる会社じゃないですよね?だったらそんなネタで話したら上司や同僚から白い眼で見られますよ ;-)
Re:事前調査はどこまで許されるのか? (スコア:0)
いや、そんなのに管理をまかしてるようなところだったら、
その上司や同僚も類友でしょう。